本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:ChristopherKuner(哥本哈根大学客座教授,布鲁塞尔国际律师事务所的律师),译者:互联网法律评论,原文标题:《欧盟GDPR五年回顾“国际数据传输”:濒临神经崩溃的监管体系》,头图来自:视觉中国
欧盟《通用数据保护条例》(GDPR)是一部拥有强大国际影响力的欧盟立法,借鉴这部法律进行本国立法的国家包括中国、印度、日本、英国、澳大利亚等。
不过,在《通用数据保护条例》(GDPR)实施5周年后,回头审视其在个人数据国际传输领域的监管能力,境外法律专家却认为它看起来像是一个处于“神经崩溃”边缘的监管体系。
哥本哈根大学客座教授、律师Christopher Kuner的文章,分析了《通用数据保护条例》(GDPR)面临的困难以及未来展望。
正文
在《通用数据保护条例》(GDPR)生效五年后,对个人数据国际传输的监管仍在进行中。它反映了通常被称为“后现代”的现象——法律的碎片化以及法律与政治之间的混乱关系。
受GDPR保护的个人数据传输权利,同时被各种利益相关者相互矛盾的冲突所影响:
公司传输个人数据的同时抱怨合规成本;
个人希望在线服务能够以创新方式使用他们的数据,同时让他们能够控制这些数据;
数据保护机构(DPA)要求公司遵守有关数据传输的法律规则,但通常难以执行;
欧盟和美国在相互指责的同时谈判数据传输安排;
欧盟各机构颁布立法是由当时的政治优先事项决定,而其关注时间通常较短。
尽管世界上许多国家都采用了类似的法律,表明GDPR具有相当大的国际影响力,但其优先事项相互冲突,有时使它看起来像是一个处于“神经崩溃”边缘的监管体系。
GDPR数据传输制度面临的多挑战,这些挑战源自制度紧张、向形式主义机制的转变、跨境案件的执行问题,以及用于实施GDPR的比较方法的问题,所有这些都可以通过必要的政治意愿来解决。
然而,其他问题则源于全球形势的发展、GDPR应如何与外国法律体系互动,这些问题尚未解决,而且更为棘手。
一、体制的紧张:欧盟委员会与欧盟法院
欧盟委员会的法律作用,是确保基本权利在其提议的立法中得到保护,这与它在与第三国谈判数据转移安排时需要妥协的政治现实存在矛盾。
这些双重角色反映在其于2022年12月13日的“针对美国的充分性决定草案”中。这一草案取代了欧盟法院对隐私盾无效决定,虽然新的充分性决定中包含的保护措施对“隐私盾”有所改进,但政治压力已经导致了欧盟委员会做出了某种值得怀疑的妥协——欧盟法院曾告诫欧盟委员会,对充分性决定的评估必须“严格”,这表明其在“充分性决定”中的自由裁量权减少(Schrems,C-362/14,第78段)。例如,对美国的充分性决定草案中写道,在必要时可以限制框架的数据保护原则以遵守法院命令或满足公共利益、执法或国家安全要求(附件I,第5段),这非常接近于欧盟法院在之前的案件中所反对的情况。
自20世纪90年代后期以来,有关美国充分性决定的谈判一直在进行,与美国执法部门的数据访问有关的问题分散了人们的注意力,并转移了其他重要数据保护问题的资源,这些问题往往被忽视。其中包括为国际人道主义行动传输数据;数据共享以对抗全球流行病;向国际组织传输数据等。
就其本身而言,法院扮演了一个《浮士德》中“墨菲斯托”的角色——“否定者”:虽然没有充分讨论有效的数据传输机制所需的重要问题,但欧盟法院使两项涉及美国的充足性决定无效,并认为就欧盟与加拿大涉及航空乘客数据转移的国际协议草案无法达成一致。欧盟法院还表示,它不对第三国的法律发表意见,但这又是不真实的,因为充分性决定(GDPR第45条)和适当保障措施(GDPR第46-47条)本来就取决于外国法律和欧盟标准的比较。
二、数据保护转向“形式主义”
GDPR规制下的数据传输问题越来越多地通过形式主义机制得到解决。这有可能将数据保护简化为一系列复杂、不透明的程序,这些程序由技术官僚决定,难以应用和理解。
欧盟数据保护委员会(EDPB)对数据传输方提出了越来越多的文件要求,例如其《建议 01/2020》和《指南 05/2021》中所述,准备地图以显示数据传输方式;对第三国的法律和实践进行“数据传输影响评估”;并进行法律分析以确定GDPR是否直接适用于第三国的实体。
缺乏透明度也困扰着充分性决定,这些决定是秘密谈判的,并且结果可能基于难以找到和理解的信息。
三、跨境执法不力
这种形式主义的转变具有讽刺意味,因为近年来最重要的数据传输发展并非来自公共当局的行动,而是来自一个人的倡议——奥地利活动家马克斯·施雷姆斯(Max Schrems),他多年来对Facebook的不懈的追诉导致了欧盟法院对施雷姆斯和Facebook具有里程碑意义的判决。
国家程序要求阻碍了法院在这两项判决中所期待的更高水平的跨境执法发展,欧盟数据保护委员会(EDPB)和欧盟委员会正在尝试解决。然而,跨境执法问题也是由DPA中的人为和组织因素造成的,例如资源和培训有限、语言问题以及缺乏技术理解,因此需要政治和组织解决方案。
GDPR面临的更普遍的问题也会影响数据传输,比如缺乏对大型科技公司的执法。这反映了这样一个事实,即执行是成员国法院和各国行政机关的责任,而欧盟数据保护委员会(EDPB)仅具有协调作用。正如欧洲数据保护监管机构(European Data Protection Supervisor)所建议的那样,需要新的跨境数据保护执法机制,例如创建具有泛欧盟权限的单一执法机构,尽管这将面临巨大的政治障碍。
四、比较法的复杂性:对外国法律理解偏差
GDPR的数据传输制度基于确定数据传输到的国家/地区的法律和实践是否符合欧盟标准。它需要比较法的研究工作,例如欧盟委员会和欧盟数据保护委员会(EDPB)对第三国法律进行研究;委员会和外国官员在协商充分性决定时深入研究彼此法律的复杂性;各方分析他们将向其传输数据的国家/地区的法律。
从孟德斯鸠开始,政治哲学家和学者已经警告过,盲目地将概念和制度从一个法律体系移植到另一个法律体系具有危险性。比较法律制度是一项复杂的工作,需要精通他国语言;对本国法律系统和被比较的外国法律系统都有深入的了解;超越法律的措辞来确定其目的和含义;并防止无意识的文化偏见。将数据传输工具建立在有缺陷的比较分析基础上可能会导致它们在以后失效。
这种复杂性可以在新的欧盟-美国数据传输框架中看到。美国总统拜登于2022年10月7日签署的行政命令要求情报收集要“按比例”进行,这一点在委员会的充分性决定草案中反复提及。然而,正如Vicki Jackson教授所写,虽然美国宪法学说的某些领域使用了比例概念,但成员国和欧盟宪法中使用的结构化比例分析在美国法律中却不存在。仅仅在美国法律文书中插入“按比例”一词并不一定意味着该概念将以与欧盟法律体系相同的方式进行解释。这表明欧盟的比较法方法需要更加严格。
五、全球挑战:与GDPR冲突的数据传输系统开始形成
数据处理蕴含的经济和地缘政治意义,使各国在最高政治层面认识到需要为国际数据传输提供更稳定的法律框架。例如,日本的数字部长——目前日本是七国集团的轮值主席国,已经宣布打算建立一个处理跨境数据流的国际组织。应对这样的全球发展将是GDPR未来面临的最大挑战之一。
这可以从各种国际和区域组织越来越多的数据传输举措中看出。例如,包括加拿大、日本、韩国、英国和美国在内的国家/地区已制定“全球跨境隐私规则”(GCBPR)作为数据传输的替代系统。GCBPR 似乎旨在提供最低级别的保护,到目前为止几乎没有实际意义。然而,如果GCBPR中的、同时已经受制于欧盟委员会的充分性决定的国家(包括加拿大、日本、韩国、英国,以及未来的美国)开始允许基于这个新系统的数据传输,然后它可能会使它们与GDPR发生冲突。东盟和伊比利亚美洲数据保护网络等区域组织也发布了国际数据传输的示范合同条款。
这些举措引发了关于 GDPR 的数据传输制度如何与其他法律体系相互作用的问题。欧盟法院坚持欧盟法律的自主性和高水平的数据保护,这表明它对允许这种互动犹豫不决。即使是像德国这样具有悠久基本权利保护历史的成员国宪法体系,也可能比欧盟法院更愿意承认外国数据保护体系(见2016年4月20日德国联邦宪法法院的判决,第334段)。
这种紧张关系不可避免地影响到一些问题——欧盟在期待第三国法律采用与自己类似的标准方面能走多远?
六、未来展望
GDPR面临的问题往往掩盖了它的成功。GDPR明确了一些以前只是隐含的重要法律原则;提高公众对数据传输的认识;创造支持加强法律保护的政治势头;加强数据保护机构(DPA)的地位;加大对违规行为的处罚力度。所有这一切,都值得人们对欧盟数据保护法赋予更大尊重。
然而,欧盟法律必须采取进一步措施来应对GDPR数据传输制度面临的挑战。这应包括:欧盟机构更好地平衡其法律和政治角色;提供更简单、更透明、个人更容易理解的合规机制;解决跨境执法的程序障碍;提高DPA的组织能力;更严格地评估外国法律制度;建立欧盟范围内的跨境案件执法机构。委员会应将此类提议纳入其将于2024年到期的下一份GDPR评估报告中。
这些步骤将有助于GDPR对数据传输的监管在未来五年乃至更长时间内变得更加有效和相关。然而,全面解决有关数据传输的问题还需要欧盟法律明确如何与外国法律体系建立接口。这反过来又需要就欧盟法律在更广阔世界中的地位做出根本性决定,这一过程可能会在未来数年占据欧盟的时间。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:ChristopherKuner(哥本哈根大学客座教授,布鲁塞尔国际律师事务所的律师),译者:互联网法律评论